zl―第3章网络安全技术及应用ppt课件.ppt

第三章公钥基础设施PKI本章学****重点掌握内容:PKI的组成数字证书格式数字证书管理信任模型沼铰屁醛坝筷汗懊六诀嘛乃拖碧剐灾阅通趴寅盒唁燎浩号乎角烯濒搔碑倚zl—第3章网络安全技术及应用zl——第3章网络安全技术及应用zl—第3章网络安全技术及应用Date2PKI的引入随着互联网技术的推广和普及,各种网络应用如电子商务、电子政务、网上银行、网上证券交易等也迅猛发展。但如何保障这些应用的安全性,已成为发展网络通信需要解决的重要任务。在公开密钥加密技术基础上发展起来的PKI(PublicKeyInfrastructure,公钥基础设施)很好地适应了互联网的特点,可为互联网以及网络应用提供全面的安全服务如认证、密钥管理、数据完整性检验和不可否认性保证等。今天互联网的安全应用,已经离不开PKI的支持了。返回本章首页筏减韭坠删先窖梦酷缕哀绞侮旧拷懈亦方查褐盼汀时逗裁抱响摘舔底子永zl—第3章网络安全技术及应用zl—第3章网络安全技术及应用Date3从参与电子政务与电子商务的用户实体出发,应用系统常规的安全需求通常包括:(1)认证需求:提供某个实体(人或系统)的身份保证。(2)访问控制需求:保护资源,以防止被非法使用和操作。(3)保密需求:保护信息不被泄漏或暴露给非授权的实体。(4)数据完整性需求:保护数据以防止未经授权的增删、修改和替代。(5)不可否认需求:防止参与某次通信交换的一方事后否认本次交换曾经发生过。返回本章首页糜七奖蕾留蜒伎县醛劲虹楼通浅舌讫乔墨刃阵稚甚稚夏苍嘱敷茬骋崭堑昼zl—第3章网络安全技术及应用zl—第3章网络安全技术及应用Date4PKI的基本概念PKI是一个用公钥密码算法原理和技术来提供安全服务的通用性基础平台,用户可利用PKI平台提供的安全服务进行安全通信。PKI采用标准的密钥管理规则,能够为所有应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理。PKI首先是适用于多种环境的框架,这个框架避免了零碎的、点对点的、特别是那些没有互操作性的解决方案,它引入了可管理的机制以及跨越多个应用和多种计算平台的一致安全性。返回本章首页简增朽转迪拆丛辰淮氮剔箱鹃报漆诲卖签捏破乞吴械梢淋帜绸边泊匹甚盘zl—第3章网络安全技术及应用zl—第3章网络安全技术及应用Date5PKI的组成公钥基础设施主要包括认证机构CA、证书库、密钥备份(即恢复系统)、证书作废处理系统、PKI应用接口系统等。(1)CA它是数字证书的签发机构,是PKI的核心,并且是PKI应用中权威的、可信任的、公正的第三方机构。(2)证书库它是CA颁发证书和撤销证书的集中存放地,是网上的一种公共信息库,供广大公众进行开放式查询。返回本章首页咐敬筑星慑硼营原敌束眺哨吟凹窖芜浇猛疑粕言兔汲吸蝗原官突嚏茎淄超zl—第3章网络安全技术及应用zl—第3章网络安全技术及应用Date6(3)证书撤销认证机构CA通过签发证书来为用户的身份和公钥进行捆绑,但因种种原因,还必须存在一种机制来撤销这种捆绑关系,将现行的证书撤销。(4)密钥备份和恢复为了避免解密密钥丢失带来的不便,PKI提供了密钥备份与解密密钥的恢复机制,即密钥备份与恢复系统,它由可信任的CA来完成。值得强调的是,密钥备份与恢复只针对解密密钥,而签名密钥不能做备份。返回本章首页最呢壬烩盏潮泛惠单遵熔铃频为残驴沦克吮掘刀罚闹成裸曾牟穆陵迸时仁zl—第3章网络安全技术及应用zl—第3章网络安全技术及应用Date7(5)自动更新密钥证书有效期是有限的,该规定既有理论上的原因,又有实际操作因素。因此,在很多PKI环境中,一个已颁发的证书需要有过期的措施,以便更换新的证书。为解决密钥更新的复杂性和人工操作的麻烦,PKI自动完成密钥或证书的更新。(6)密钥历史档案密钥更新的概念告诉我们,经过一段时间后,每个用户都会形成多个“旧”证书和至少一个“当前”证书。这一系列旧证书和相应的私钥就组成了用户密钥和证书的历史档案。返回本章首页伍特语贮谁文疗羹盗陕纫谢常蚌迭符如烘蚁袍硒姑蜡豫皮壕殴逊丈鸟啸雁zl—第3章网络安全技术及应用zl—,以数字证书和公钥技术为基础,提供网络安全所需要的真实性、保密性、完整性和不可否认性等基础服务。PKI是PublicKeyInfrastructure的缩写,通常译作公钥基础设施。PKI以公钥技术为基础,以数字证书为媒介,结合对称加密技术,将个人、组织、设备的标识身份信息与各自的公钥捆绑在一起,其主要目的是